Richiesta di test di sicurezza Avviso di frode federale

Un test di sicurezza sanzionato di una banca i sistemi informatici hanno avuto alcune conseguenze inaspettate questa settimana, portando l'agenzia federale che sovrintende alle unioni creditizie degli Stati Uniti a emettere un avviso di frode.

Martedì, l'Amministrazione nazionale del credito creditizio (NCUA) ha messo in guardia tutte le unioni di creditori federali di una lettera fasulla che l'unione di credito senza nome aveva ricevuto insieme a due CD. La falsa lettera affermava che i CD contenevano materiali di addestramento antifrode NCUA, ma nel suo avviso di frode, NCUA aveva avvertito che l'esecuzione dei CD "poteva portare a una possibile violazione della sicurezza del sistema o avere altre conseguenze negative".

Solo si è scoperto che i CD non venivano inviati dai truffatori. Sono stati inviati dai dipendenti di MicroSolved, una società di test di sicurezza di Columbus, Ohio. "Era parte di un po 'di ingegneria sociale che stavamo facendo in un test di penetrazione completamente sanzionato", ha detto il CEO di MicroSolved Brent Huston in un messaggio di posta elettronica.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Aziende come MicroSolved vengono regolarmente assunte per testare in modo indipendente la sicurezza delle aziende e delle agenzie governative.

I tester di penetrazione spesso usano le cosiddette tecniche di ingegneria sociale come parte del loro lavoro di valutazione della sicurezza. Con l'ingegneria sociale, l'aggressore di solito finge di essere un partner o un collaboratore legittimo al fine di indurre i dipendenti a compromettere i loro sistemi informatici oa divulgare informazioni sensibili. "Le esercitazioni di ingegneria sociale fanno parte della maggior parte delle nostre valutazioni", ha detto Huston.

Il portavoce dell'NCUA John McKechnie non ha avuto molto da dire sulla segnalazione della sua organizzazione. In una breve e-mail di giovedì, ha scritto "a questo punto, sembra che si tratti di un evento isolato."

Anche se la minaccia che ha spinto l'avvertimento NCUA non era basata su un attacco reale, l'avviso contiene buone informazioni, secondo Johannes Ullrich, capo ricercatore del SANS Institute, un gruppo di formazione sulla sicurezza. "È una buona lezione", ha detto. Secondo lui, tutte le parti nell'esercizio hanno agito più o meno come dovrebbero. La banca "lo segnalò alla loro agenzia di controllo, che poi emise questo avviso basato su di esso."

Il direttore della Ricerca e Informazione della California Credit Union League, Rita Fillingane, disse che l'avviso era ancora utile, anche se non era basato su un vero e proprio atto criminale. "In futuro qualcosa del genere potrebbe venire giù per il luccio", ha detto.

Tuttavia, Ullrich ha detto di non essere a conoscenza di casi in cui i CD fasulli sono stati effettivamente utilizzati per compromettere una rete di computer.

Ha detto che inizialmente era estremamente interessato quando ha visto l'avvertimento iniziale di NCUA. "Ho pensato, 'Finalmente questo è nella natura, perché l'ho visto solo nei pen-test precedenti.'"